Kto powinien ponosić odpowiedzialność za incydenty naruszenia bezpieczeństwa

Metody prowadzenia cyberataków stają się coraz bardziej wyrafinowane. Zwiększa się szybkość, zasięg i skuteczność działań cyberprzestępców. Analitycy i eksperci ds. bezpieczeństwa przewidują, że ilość cyberzagrożeń będzie w nadchodzących latach stale rosnąć. Wynika to nie tylko z rozwoju nowych technologii i transformacji cyfrowej, które niosą ze sobą nowe wyzwania i zagrożenia dla organizacji, ale głównie z powodu niewystarczającej uwagi jaką organizacje poświęcają bezpieczeństwu, podejmowanym działaniom w tym obszarze i niedostosowaniu wydatków na ten cel. 

Mimo rosnącej skali cybezagrożeń i wynikających z nich konsekwencji finansowych i wizerunkowych, wiele organizacji nadal nie stosuje odpowiednich zabezpieczeń. Co więcej – często osoby zarządzające organizacją posiadają niewystarczającą wiedzę na ten temat. Kto w takim razie powinien wziąć na siebie odpowiedzialność w przypadku naruszenia bezpieczeństwa? Analitycy Gartnera przewidują, że do 2024 r. 75 proc. dyrektorów generalnych będzie osobiście odpowiadać za incydenty związane z naruszeniem bezpieczeństwa systemów cyberfizycznych (CPS). Tłumaczenie się brakiem wiedzy lub świadomości zagrożeń albo przenoszenie odpowiedzialności wyłącznie na szefa działu bezpieczeństwa informacji to jedynie wymówka i uciekanie od odpowiedzialności. Zapewnienie bezpieczeństwa ma obecnie kluczowe znaczenie dla każdej organizacji. Dlatego nie powinno się pozwolić na pozostawienie odpowiedzialności za kwestie bezpieczeństwa w „przypadkowych” rękach. Dyrektorzy ds. bezpieczeństwa informacji (CISO) mają często obawy, że CEO jako osoba „nietechniczna” i tak nie zrozumie złożonej infrastruktury informatycznej. Jednak dyrektorzy generalni współczesnych organizacji zdają sobie sprawę z potrzeby zapewnienia bezpieczeństwa i konsekwencji dla całej organizacji wynikających z zaniedbań w tym obszarze. Większym problemem jest tutaj brak dialogu między CEO i osobami zarządzającymi bezpieczeństwem. 

Kapitan tonącego statku

Dyrektor generalny podejmując kluczowe decyzje w organizacji musi mieć na uwadze jej dobro. Jest w pewnym sensie kapitanem statku, który odpowiada nie tylko za bezpieczeństwo fizyczne pracowników, ale także za bezpieczeństwo danych i za to, jak incydent naruszenia bezpieczeństwa może wpłynąć na funkcjonowanie firmy, jej finanse czy bezpieczeństwo klientów. Czy w takim razie to CEO jest winny i powinien ponieść konsekwencje, gdy dojdzie do naruszenia bezpieczeństwa? Nie jest to już takie oczywiste. W odniesieniu do incydentów naruszenia bezpieczeństwa nie zostały jasno zdefiniowane i określone przepisy ani kary. Ponadto nie ma jednego, określonego sposobu zaangażowania CEO w codzienne działania związane z bezpieczeństwem organizacji. Wręcz przeciwnie - dyrektor generalny jest zwykle odsuwany od takich spraw lub po prostu nie jest nimi zainteresowany albo nie ma na nie czasu. 
 

Niech nas atakują

Zdarza się, że dla CEO bezpieczeństwo staje się priorytetem dopiero kiedy organizacja sama stanie się ofiarą cyberataku. Wtedy przeważnie jest już za późno na obronę - pozostaje wprowadzenie działań naprawczych i wyciągnięcie wniosków na przyszłość. Nie najlepszym pomysłem są też próby zatajenia informacji o incydentach naruszenia bezpieczeństwa. W 2016 roku wyciekły dane 57 mln klientów i kierowców Ubera i informację o tym fakcie ukrywano przez rok. Finalnie firma zapłaciła hakerom okup 100 tys. USD za „zniszczenie skradzionych danych”. Jednak nawet zapłacenie okupu nie gwarantuje bezpiecznego odzyskania skradzionych danych, nie wspominając o utraconym zaufaniu klientów czy naruszeniu prywatności danych. Dlatego coraz częściej organizacje decydują się też na wykupienie „cyber-ubezpieczenia”. Jednak tutaj możliwości odszkodowań rzadko kiedy są wystarczające, aby w przypadku naruszenia bezpieczeństwa organizacji pokryć całą odpowiedzialność z tytułu tego ryzyka i całkowicie zrekompensować poniesione straty. 

Ocena ryzyka 

Czas pandemii COVID-19 to nie tylko konieczność weryfikacji modelu biznesowego, ale to także czas zintensyfikowanych działań cyberprzestępców wykorzystujących obecną sytuację. Każdego dnia przeprowadzają oni tysiące skutecznych ataków, których celem jest kradzież danych lub pieniędzy. W obliczu coraz bardziej zaawansowanych zagrożeń zapewnienie odpowiedniego poziomu bezpieczeństwa nigdy wcześniej nie było tak istotną kwestią dla organizacji, a co za tym idzie dla jej kadry zarządzającej. Ponieważ CEO jest odpowiedzialny za wszystkie najważniejsze sprawy korporacyjne, powinien też mieć wgląd w sprawy związane z bezpieczeństwem organizacji. Kluczowa jest tutaj możliwość przeprowadzenia oceny ryzyka związanego z bezpieczeństwem. 

Tradycyjne zabezpieczenia nie zapewniają już odpowiedniego poziomu ochrony przed zaawansowanymi i szybko zmieniającymi się formami cyberataków. Dlatego współczesne organizacje muszą działać proaktywnie. Powinny poznać słabe strony swojej infrastruktury bezpieczeństwa, potencjalne metody i sposoby, w jaki mogą zostać zaatakowane. Eksperci ds. bezpieczeństwa podkreślają potrzebę ciągłej weryfikacji i oceny zabezpieczeń organizacji w obliczu coraz większej ilości zagrożeń, a także ewolucji modelu biznesowego. 
 

Cymulate

Ocena ryzyka związanego z cyberbezpieczeństwem pozwala przygotować się na nieoczekiwane zagrożenia, takie jak naruszenie danych, cyberataki czy szkodliwe działania pracowników. Bieżący stan przygotowania organizacji na ataki oraz inne współczesne cyberzagrożenia można sprawdzić stosując np. rozwiązania BAS (ang. Breach and Attack Simulation – BAS) takie, jak platforma firmy Cymulate. Rozwiązanie to pozwala na przeprowadzanie symulacji cyberataków i zweryfikowanie odporności infrastruktury bezpieczeństwa na zagrożenia. Platforma Cymulate pozwala na bezpieczne testowanie poziomu zabezpieczeń zarówno wewnątrz, jak i na zewnątrz organizacji. Ponadto identyfikuje słabe punkty bezpieczeństwa organizacji - wskazuje luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia. Dzięki rozwiązaniom BAS organizacje mogą na bieżąco ocenić swoją realną gotowość do ochrony przed współczesnymi cyberzagrożeniami i proaktywnie przeciwdziałać naruszeniom bezpieczeństwa.

Osoby odpowiedzialne za całą organizację i jednocześnie za jej bezpieczeństwo nie powinny jedynie czekać i podejmować działania wyłącznie w reakcji na zaistniałe incydenty związane z bezpieczeństwem. Poniesione straty mogą być wielokrotnie większe niż koszty działań proaktywnych ponoszone na wykorzystanie nowych technologii np. rozwiązań BAS. Firma inwestująca w bezpieczeństwo zapewnia sobie nie tylko większą ochronę, ale również oszczędności na przyszłość. Tylko organizacja zarządzania przez CEO, który działa odpowiedzialnie, jest świadomy ryzyka i współczesnych zagrożeń, jest w stanie obronić się przed cyberprzestępcami. 

Tekst źródłowy: https://blog.cymulate.com/author/jonathan-brothers